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(57) Abstract: The invention relates to a data processing method consisting in encoding, recording, reading and in processing a Petri 
net by at least one instance. The transitions of the Petri net extract at least one symbol tape or a symbol chain with the aid of at least 
one head and/or write them on at least one tape. In a variant, co-operating data processing networks are composed, the composition 
results are encoded and recorded in a memory, read therefrom and processed by at least one instance. Components can comprise 
cryptological functions. The data processing networks can receive second data of a cryptological function which is processed in a 
protected manner. Said invention makes it possible to carry out data processing without semantic analysis of written processing steps, 
is possible with less number thereof and enables a link of the processing steps to a piece of hardware which is difficult to disconnect 



fs| (57) Zusammenfassung: Ein Verfahren zur Verarbeitung von Daten, bei dem ein Petri-Netz kodiert, in einen Speicher geschrieben 
und aus dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei Transitionen des Petri-Netzes Symbole oder 
W Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band lesen und/oder auf wenigstens 
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einem Bank schreiben (Fig. 1). In einer Alternative werden datenverarbeitende, kooperierende Netze komponiert, das Komposition- 
sergebnis kodiert, in einem Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgefUhrt Dabei 
konnen Komponenten kryptologische Aufgaben haben. Die datenverarbeitende Netze kdnnen von einer geschiitzt ausgefuhrten kryp- 
tologischen Funktion zweite Daten empfangen. Die Erfindung ermSglicht die Verarbeitung von Daten, die eine Semantik-Analyse 
offengelegter, mSglicherweise weniger Verarbeitungsschritte verhindert und eine schwer trennbare Verkniipfung der Verarbeitungss- 
chritte mil einer Hardware hersteUen kann. 
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Verfahren zur Verarbeitung von Daten 

Die Erfindung bezieht sich auf ein Verfahren zur Verarbeitung von Daten. 
TBCHNISCHER HINTERGRUND 

Software und Inhalte, wie beispielsweise Musik, konnen heute fiber das Internet 
kostengfinstig verbreitet werden. Es wurde eine Vielzah) von Kopierschutzme- 
chanismen zur Durchsetzung von Urheberinteressen entwickelt. Der Schutz von 
Inhalten ist schwierig, wenn der Konsument der Mensch ist, der die Inhalte in • 
unverschlfisselter Form erwartet. Wahrend des Konsumierens kann jeder Inhalt 
in analoger Form aufgezeichnet, digitalisiert und dann kopiert werden. Dieses 
Problem wird analogue hole genannt. Das illegale Kopieren von .Inhalten kann 
nach heutigem Stand der Technik nur behindert, aber nicht verhindert werden. 
Das Problem des analogue hole gibt es nicht bei der Ausfuhrung von Software. 
Zwar ist der Benutzer einer Software der Mensch; der direkte "Konsument" ist 
aber ein Computer oder em Prozessor. Deshalb ist es moglich, die Software oh- 
ne storende Auswirkungen ffir den Benutzer durch Kopierschutzmechanismen zu 
verandern. Unterdem Begriff Softwareschutz soli der Schutz des intellektueUen 
Eigentums, das mit der Software verbunden ist, verstanden werden. Hierzu ge- 
hort das Wissen fiber das Anwendungsgebiet der Software, fiber spezifische Pro- 
bleme dieses Gebiets und deren Losungen, die in der Software umgesetzt werden. 
Auch alle Techniken zur Erstellung der Software, die problem- oder losungsspe- 
zifisch sein konnen, gehoren zum schfitzenswerten intellektueUen Eigentum. Oft 
will ein Urheber sein Wissen schutzen und sicherstellen, dass nur er die Software 
weiterentwickeln kann. Zum Schutz der genannten Werte ist es notwendig, eine 
Rekonstruktion {Reverse-Engineering) des Quellkodes oder eines aquivalenten 
Programmkodes mit Hilfe einer Analyse des Maschinenkodes.der Software zu 
verhindern oder sicherzustellen, dass der Aufwand der Analyse groSer ist als die 
Entwicklung der Software. Softwareschutz kann die Verhinderung einer unaut- 
horisierten Benutzung der Software einschliefien. Ffir diesen Zweck geschaffene 
Schutzverfahren und -vorrichtungen nennt man Softwarekopierschutz, obwohl 
viele Verfahren und Vorrichtungen nicht das Kopieren verhindern, sondern die 
Benutzung der Software. Dadurch wird ein illegales Kopieren demotiviert. 

STAND DER TECHNIK 

Bei bekannten Softwarekopierschutzverfahren werden Daten aus der Applikation 
an eine geschfitzte Hardware ubertragen, von der Hardware verschlfisselt und an- 
schliessend von der AppUkation'entschlfisselt oder mit vor der CompUierung der 
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Applikation verschliisselten Daten verglichen. Nur bei korrekter Verschlusselung 
der Daten durch die Hardware arbeitet die Applikation korrekt. Eine Methode 
zur Umgehung dieses Schutzes ist das Entfernen des Vergleiches der Daten aus 
dem Maschinenkode. Hierfur gibt es Gegenmassnahmen: Die Applikation uber- 
priift sporadisch die Integritat des Maschinenkodes, so dass ein Angreifer auch 
diese Uberpriifungen finden muss. Ein einfacherer Weg zur Umgehung des Soft- 
warekopierschutzes ist daher folgender: Der Angreifer beobachtet die Kommuni- 
kation zwischen der Applikation und der. Hardware. Er erstellt eine Tabelle mit 
den ausgetauschten Daten und simuliert die Hardware mit Hilfe dieser Tabelle in 
ein em neu erstellten Hardware-TVeiber. Eine Gegenmafinahme ist die Implemen- 
tierung vieler Kommurrikationsvorgange mit der Hardware. Dabei werden auch 
Zufallszahlen an die Hardware gesendet, so dass eine Tabelle zu grofi werden 
wurde. Die von der Hardware verschliisselten Werte werden von der Applikation 
nur zum Schein veraxbeitet. Entweder ist der Angreifer jetzt uberzeugt, dass er 
die oben genannten Integritats-t)berprufungen finden' und entfernen muss, oder 
er beobachtet die Kommunikationsvorgange. Er schreibt jeden an die Hardware 
gesendet en Wert in einen grofien Speicher und priift, welche Werte mehrfach 
gesendet werden. Nur diese Werte werden mit hoher Wahrscheinlichkeit von der 
Applikation wirklich veraxbeitet. £)ie Hardware-Simulation benutzt dann eine 
Tabelle mit diesen Werten. Wird in der Simulation zu einer bestimmten Einga- 
be kein Eintrag in der Tabelle gefunden, wird mit einer Zufallszahl geantwortet, 
denn die AppHkation konnte die Streuung der Antworten auswerten und erken- 
nen. Die l^belle ist deutlich kleiner als der zuvor benutzte Speicher. 

In dem in [4] beschriebenen Softwarekopierschutzverfahren wird in einem mit 
dem PC verbxmdenen Steckerbauteil und parallel dazu in der geschiitzten Ap- 
plikation eine Kryptofunktion berechiiet. Teilfunktionen dieser Kryptofunktion 
konnen in -die Applikation an verschiedenen Stellen eingefugt werden, so dass 
eine Extraction ohne eine Semantik- Analyse des Programmkodes nicht moglich 
ist. Mit Hilfe der Ausgabewerte der Kryptofunktion werden Berechnungen der 
Software verfalscht und kurz vor einer schadlichen Auswirkung auf den Ablauf 
der Applikation mit Hilfe der Ausgabewerte des Steckerbauteils korrigiert. Ohne 
das fur einen Angreifer nicht reproduzierbare Steckerbauteil ist die geschutzte 
Applikation nicht benutzbar. Das beschriebene Verfahren hat den Nachteil, dass 
die Integration der Teilfunktionen in die zu schutzende Software sehr aufwendig 
ist. 

Bei einem weiteren Softwarekopierschutzverfahren werden Teile des zu schiit- 
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zenden Programms in einem nicht auslesbaren Speicher einer Smart card gehal- 
ten und von dem Smartcardcontroller ausgefuhrt. Die tJbertragung dieser Telle 
erfolgt nur in verschlusselter Form. Beispiele fur solche Prozessoren sind Vor- 
richtungen in Form von USB-Geraten der Firmen Syncrosoft [12] und Sospita 
[11). Die Verschlusselung der Software bei diesem Verfahren verhindert auch ein 
Reverse-Engineering. 

Ein Nachteil der Ausfuhrung des Programmkodes in einem speziellen, mdgli- 
cherweise extern an den PC angeschlossenen Prozessor liegt in dem schlechten 
Durchsatz. Zwar ist diese fur die Ausfuhrung von Digital-Right-Management- 
Trans aktionen ausreichend, jedoch ist die Ausfuhrung von wesentlichen Teilen 
einer zu schutzenden Application in vielen Fallen zu langsam. Die Integrati- 
on von Vorrichtungen zur Programmentschliisselung und geschiitzten Ausfuh- 
rung in einen POProzessor ware sehr teuer und wurde zu Standardisierungs- 
und Kompatibilitats-Problemen bei der Entwicklung und Verbreitung neuer 
Prozessor-Versionen fuhren. . 

In [10] wird ein Verfahren gegen Reverse-Engineering von Software beschrie- 
ben, das logische Verbindungen zwischen elementaren Operationen des Pro- 
gramms und Datenfliissen durch Einfuhrung komplexer Adressierungsmecha- 
nismen verschleiert. Ein Nachteil dieser Erfindung zeigt sich bei dem Versuch, 
objekt-orientiert entwickelte Software zu schutzen. Objekt-orientiert entwickelte 
Software enthalt im allgemeinen sehr kurze Methoden, die aus wenigen Program- 
minstruktionen bestehen und meist sehr einfache Datenfliisse init einer kleinen 
Anzahl von Vaxiablen realisieren. Wenigstens in diesem Fall ist das beschriebene 
. Verfahren nicht wirkungsvoll. Weiter ist fur dieses Verfahren keine Moglichkeit 
bekannt, die eine schwer trennbaxe Verkniipfung mit einer Hardware herstellt 
und somit das Kopieren der transformierten Software verhindert. 

"AUFGABE 

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, Verfahren zur Verax- 
beitung von Daten zu schaffen, die eine Semantik- Analyse offengelegter, mog- 
licherweise weniger Verarbeitungsschritte erschwert oder verhindert und eine 
fur einen Angreifer schwer trennbaxe Verknupfung des Ver arb eitungs verf ahr ens 
mit einer Hardware ermoglicht. Die Anwendung des Verfahrens auf vorgegebene 
Verarbeitungsschritte soil mit geringem Aufwand moglich sein. 

LOSUNG 

Die Aufgabe wird durch die Anspriiche 1 und/oder 9 und/oder 20 gelost. 
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Gemass Anspruch 1 wird ein Petri-Netz kodiert, dessen Transitionen Symbole 
oder Symbolketten mit Hilfe eines oder mehxerer Kopfe mit wenigstens einem 
Band austauschen. Die Kodierung des Petri-Netzes wird in einen Speicher ge- 
schrieben und von wenigstens einer Instanz gelesen und ausgefuhrt. Petri- Netze 
und die Begriffe "Stelle", 'Transition" und "Maxkierung" werden in [6] und [8] be- 
schrieben. Die Begriffe "Kopf" und 4< Band" werden in Anlehnung an die Begriffe, 
die eine Turing-Maschine beschreiben, benutzt, wobei das Band aus technischen 
Griinden im Unterschied zum Model] der Turing-Maschine endlich ist. Turing- 
Mas chinen werden beispielsweise in [5] beschrieben. Vorzugsweise wird bei jedem 
Lese- und Schreibvorgang der Kopf auf dem Band bewegt. Die Kopfbewegung 
kann aber auch steuerbar sein. Weiter ist das Vorhandensein von wenigstens 
zwei Kopfen fur die Arbeitsgeschwindigkeit vorteilhaft, weil die meisten Ope- 
rationen mit wenigstens zwei Operanden arbeiten. Ein Band kann ein Register 
eines Prozessors oder eine Speicherzelle eines BAMs sein. Ein Kopf kann ein 
Register mit einer Maske zur Maskierung von Werten des Ban des sein. Unter 
der Ausfuhrung eines Petri-Netzes soil hier das Sdialten von TVansitionen des 
Petri-Netzes verstanden werden. Durch die Ausfuhrung des Petri-Netzes, das auf 
Bander n axbeitet, werden Daten verarbeitet. Der Speicher und die ausfuhrende 
Instanz bzw. die ausfuhrenden Instanzen kann bzw. konnen auf viele Weisen ge- 
staltet werden. Fur den Erfindungsgedanken ist wichtig, dass die Semantik, die 
hinter dem Petri-Netz steht, auch bei Kenntnis des Petri-Netzes schwer analy- 
sierbar ist. Die Erzeugung und Kodierung des Petri-Netzes erfolgt vorzugsweise 
in einem anderen Speicher als die Ausfuhrung. Die Kodierung des Petri-Netzes, 
der Kopfe, Bander, Felder und Symbole ist in vielen Varianten moglich. Ein 
Angreifer, der Kenntnis uber die Semantik des Petri-Netzes erlangen mochte, 
hat nur die Moglichkeit, das Petri-Netz mit den ihm bekannten Petri-Netzen zu 
vergleichen, oder die Semantik mit Hilfe von Ein- und Ausgabe-Beispielen zu 
erraten. Nach Anspruch'20 kann das Petri-Netz Symbole oder Symbolketten von 
einer kryptologischen Funktion empfangen und verarbeiten. Die kryptologische 
Funktion kann mit der das Petri-Netz ausfuhrenden Vorrichtung fest verbun- 
den sein, so dass eine fur einen Angreifer schwer trennbare Verknupfung des 
Veraxbeituhgsverfahrens mit einer .Hardware hergestellt ist. 

In einer Ausgestaltung der Erfindung bildet das Petri-Netz, der Kopf oder die 
Kopfe und das Band oder die Bander eine universeUe Turing-Maschine. Ein 
Petri-Netz kann die endliche Kontfolle der Turing-Maschine bilden. Auf dem 
Band der universellen Turing-Maschine ist die Kodierung einer Turing-Maschine 
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Oder einer universellen Turing-Maschine gespeichert. Im letzten Fall kann wie- 
demm eine Turing-Maschine oder eine universelle Turing-Mas chine auf dem 
Band der zuletzt genannten universellen Turing-Maschine gespeichert sein usw. 
Diese Rekursion kann weitergefuhrt -werden. Eine Semantik- Analyse der Verax- 
beitungsschritte bei der Ausfuhrung des Petri-Netzes wird mit jeder Rekursion 
zunehmend erschwert. 

In einer weiteren Ausgestaltung des Verfahrens tauscht das Petri-Netz mit einem 
bzw. mehreren weiteren Petri-Netzen uber Kan ale Symbole oder Symbolketten 
aus. Hiermit lasst sich die Komplexitat erhohen und damit die AnaJysierbarkeit 
erschweren. 

Das Schalten von Ti-ansitionen kann gemass einer weiteren Ausgestaltung der 
Erfindung mit Hilfe von Tabellen schnell ausgefiihrt werden. In AnaJogie zu 
beispielsweise in [2] beschriebenen sequentiellen Maschinen kann aufgrund einer 
Markierung bzw.. eines Zustands und einer Eingabe eine Folgemarkierung bzw. 
ein Folgezustand und eine Ausgabe aus einer Tabelle schneD ermittelt werden. 
Die Eingaben bzw. Ausgaben konnen auch optional erfolgen. 

Eine Geschwindigkeitssteigerung beim Schalten der T>ansitionen lasst sich durch 
ein Verfahren erzielen, bei der ein Prozessor das Schalten einer Transition mit 
einer Instruktion ausfuhrt, wobei eine Instruktion die Tabellen als Operand 
einliest. Der Instruktionssatz eines Prozessors kann mehrere solche Instruktionen 
enthalten. 

Die Ausgaben eines Petri-Netzes konnen in ein weiteres Petri-Netz eingegeben 
und weiter verarbeitet werden. Ein aus mehreren Petri-Netzen bestehende Sy- 
stem ist eine Kooperation. In einer weiteren Ausgestaltung der Erfindung bildet 
eine Kooperation von Petri-Netzen eine Turing-Maschine. Die Felder, Bander 
und die endliche Kontrolle der Turing-Maschine werden als Petri-Netze kodiert, 
die uber Kan ale Symbole oder Symbolketten austauschen und sich synchroni- 
sieren konnen. 

Vorteilhaft fur den Schutz von Software ist die tjbersetzung dieser Software 
in ein Petri-Netz oder eine Kooperation von Petri-Netzen bzw. in eine Turing- 
Maschine. Dieser tjbersetzungsvorgang konnte durch einen speziellen Compiler 
maschinell ausgefiihrt werden. 

Die Ausfuhrung einer Kooperation von Petri-Netzen kann in einer Ausgestaltung 
des Verfahrens durch die Ausfiihrung einer Kompositionsvorschrift erfolgen. Da- 
bei wird ein Petri-N'etz erzeugt, das das gleiche aussere Ein-/Ausgabeverhaiten 
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zeigt, wie die Kooperation der Petri-Netze, mit der Einschrankung, dass Aus- 
gaben verzogert erf ol gen konnen. Hierdurch wird die gewunschte Funktionalitat 
des erzeugten Petri-Netzes nicht unbedingt beeintrachtigt. 

Eine alternative Losung der der Erfindung zugrunde liegenden Aufgabe sieht 
gemass Anspruch 9 vor, dass datenverarbeitende, kooperierende Netze kompo 
niert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben 
und aus dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, 
wobei das Kompositionsergebnis ein zu seinen Komponenten bezuglich des aus- 
seren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aquiva- 
lentes Netz ist. Hiervon ausgenommen wird ein Public Key Verschliisselungs- 
verfahren von [1] und [3], bei dem die Kompositionsergebnis einer Komposition 
endlicher Automaten einen Public Key bilden. Bei der vorliegenden Erfindung 
geht es um die allgemeine Verarbeitung von Daten unter Berucksichtigung der 
der Erfindung zugrunde liegenden Aufgabe. Die Aufgabe wird gelost, weil eine 
Semantik- Analyse eines Kompositionsergebnisses dhne Kenntnis der Kompo- 
nenten schwierig ist. Eine Dekomposition ist in vielen Fallen ein hartes resp. 
np-hartes Problem. 

Das Kennzeichen des Anpruchs 9 schrankt nicht ein, welche Art von datenverar- 
beitenden, kooperierenden Netzen komponiert werden. Es ist bekannt, dass viele 
Netze einer Art sich durch Netze einer anderen Art simulieren lassen bzw. zuein- 
ander aquivalent sind. Beispielweise wurde in [7] und in [9] gezeigt, dass rekursi- 
ve McCulloch-Pitts-Netze, eine spezielleForm kiinstlicher neuronaler Netze, zu 
endlichen Automaten aquivalent sind. Endliche Automaten lassen sich wieder- 
um durch B/E-Netze beschreiben. B/E-Netze sind spezielle Petri-Netze. Eine 
Beschreibung der Komposition hangt naturgemass von der formal en Definition 
der Netze ab, und es lassen sich unabhangig von dieser Definition inhaltlich viele 
verschiedene Varianten der Komposition definieren. Anspruch 9 beinhaltet auch 
Varianten von Kompositionen, die- dem gleichen Erfindungsgedanken zugrunde 
liegen. 

Die Komponenten und das Kompositionsergebnis konnen Petri-Netze sein, die 
Symbole oder Symbolketten fiber wahlweise vorhandene Kanale senden und 
empfangen. In einer Ausgestaltung der Erfindung bildet jede Komponente eine 
sequentielle Mas chine mit wahlweise mehreren Eingabekanalen und wahlweise 
mehreren Ausgabekanalen. Seien C eine aufzahlbare Menge von Kanalen, A 
eine endliche Menge von endlichen Alphabeten, 7 : C -¥ A, fl =(C, A, 7) eine 
Kommunikationsregel, 
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■Eq = {e\e = {(c,a) |<j € 7(c) A ((r,ai) € e A (c,a 2 ) € e => cx x = a 2 )» U {0} 
eine Menge von Ein-/Ausgabe-Ereigrrissen und S eine endliche Menge von Zu- 
standen. Ein System von sequentiellen Maschinen wird definiert als 

M n :={ (5,^^,^50)1 6:R-+SAP:R^En A RcSxEq 

A (V[(5,z),y] €/?V(c a ,a a ) 6 x V (cj,, <7 y ) € y : c, ^ Cy) A s 0 € 5 

In die Kompositionsfunktion geht als Parameter eine Menge von Synchronisa- 
tionskanalen ein. Die Transitionen der zu komponierenden Maschinen schalten 
abhangig von einem imaginaren globalen Takt und es gibt keine Nebenlaufig- 
keit. Ein lI Rendezvous" zwischen Sender und Empfanger von Symbolen soil mog- 
lich sein, was voraussetzt, dass die Komponenten aufeinander warten konnen. 
Realisiert wird dies durch das Schalten einer "leeren Transition" der wartenden 
Maschine. Die leere Transition liest nichts und schreibt nichts. Solche Transi- 
tionen gibt es bei nichtdeterministischen Automaten mit A-Bewegungen [5]. Die 
A-Bewegungen werden hier £-Bewegungen genannt. Bei den zu komponierenden 
•nichtdeterministischen sequentiellen Maschinen als B/E-Netze gibt es mehre- 
re mogliche Schaltfolgen pder serielle Prozesse [6].. Jede mogliche Schaltfolge 
entspricht einer komponierten sequentiellen Maschine. Die Kompositionsfunkti- 
on ist eine Abbildung in einer Potenzmenge von sequentiellen Maschinen. Sei 
fl =(C, A, 7) eine Kommunikationsregel und B mit B C C eine. Menge von 
internen Synehronisationskanalen. Die Komposition comps ' MR 2 Mn wird 
definiert als 

compB := { ((if ll ...,Jf n ),^ J 

(Ki>..:,K n ) = ((5i,-EVi>^i 5 /9i > 5o 1 ),...,(*S r n ,£?n,^n)^n,so n )) 
A3T = { ((*i 1 .. M a«) f (yi l .. M y») 1 W l ... 1 5^) 1 * l y) | 
(l(5o 1 ,a: 1 ),si],...,[(so n ,a: n ),s / n ]) €Ji x ... x 8 n 
A([(do 1> £i);yi] 9 .. M a [(4o. l x n ),Vn]) € A x xJ3 n 
A 3^ = U Xi3H y = U fate): 

i€{l,.. M n} i€{l,.. v n} 

H x € jBq A H y e Ba 
AV(t-ff): (c€ B<& (c,a) €H s nH„) 
A x = H x \ H y A y = H y \H x } 
3M& = { K' I 3 ((a! , <n n ) , (y l5 .., y n ) , (si, sJJ , 5, y) € T : 
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((*!, ...,x n ) , (yi, y n ) , (si, s' n ) € T } 
U U *' 

a£ = { [((5o l ,-,5o n ),x) > y]| 

((xa J .-.,a;n) J (s/Xi-,yn),(5i l ...,Sn),x>y) e T } 
U U 



Bei der Komposition nach dieser Definition gibt es zwei Arten von Kanalen: 
Die Menge der Kanale A, in der jeder Kauai nur von einer Mas chine genutzt 
werden und eine Menge von Synchronisations-Kan al en i?, in der jeder Kanal 
von wenigstens zwei Maschinen genutzt wird. Die Menge der Synchronisations- 
kanale B ist bei der Komposition in interne und externe Synchronisatioiiskana- 
le zu unterteilen. B C B ist die Menge der Synchronisationskanale, die nicht 
mehr in der komponierten Mas chine genutzt werden. In vielen Anwendungen. 
ist B = 3?. Ein wesentlicher Unterschied zwischen internen' und externen Syn- 
chronisationskanalen ist, dass eine Transition mit einem internen Synchronisa- 
tionskanal nur schalten kann, wenn mit einer synchronisierten Transition uber 
diesen Kanal ein Symbol ausgetauscht wird. Bei einem externen Synchronisa- 
tionskanal ist die Bedingung nicht so scharf: Die Bin- oder Ausgabe auf dem 
Kanal darf nicht inkompatibel mit einer synchronisierten Transition sein. Die 
synchronisierte Transition muss demnach auch nicht mit dem Kanal arbeiten. 
Ober einen externen Synchronisations kanal konnen mit der Aussenwelt Symbole 
ausgetauscht werden. Sollen TVansitionen mit einem externen Synchronisations- 
kanal intern synchronise ert werden, miissen zusatzliche interne Synchronisati- 
onskanale eingerichtet werden. Ein moglicher rekursiver Kompositionsalgorith- 
mus axbeitet folgendermassen: Eine Kompositionsroutine wird mit den Startzu- 
standen der zu komponierenden Maschinen aufgerufen. In dieser Routine wird 




A5 = ( J s 0l ,...,5o n )U 
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die geordnete Menge der Staxtzustande als komponiertef Zustand in eine Liste 
von komponierten Zustanden eingetragen. Dann wird eine Menge von kompa- 
tiblen Transitionen (je.Komponente.eine Transition) gesucht, die jeweils den 
Startzustand als Eingabestelle haben. Transitionen sind kompatibel, wenn al- 
le diesen Transitionen zugeordneten Ereignismengen paarweise kompatibel sind 
und jedes Symbol, das von einer Mas chine auf einem internen Synchronisations- 
kanal geschrieben bzw. gelesen wird von einer anderen Maschine gelesen bzw. 
geschrieben wird. Zwei Ereignismengen sind kompatibel, wenn alle Ereignisse 
paarweise kompatibel sind oder wenigstens eine Menge leer ist. Die leere Er- 
eignismenge ist zu jeder anderen Ereignismenge kompatibel. Zwei Ereignisse 
eines internen bzw. externen Synchronisationskanals sind kompatibel, wenn sie 
entweder verschiedene Kanale betreffen oder das gleiche Symbol von der einen 
Maschine gelesen und von der anderen Maschine geschrieben bzw. von beiden 
Maschinen gelesen oder geschrieben wird. Es ist z.B. ausgeschlossen, dass zwei 
Maschinen verschiedene Symbole auf einem Kanal gleichzeitig schreiben. Fur 
jede gefundene Menge von kompatiblen Transitionen wird die geordnete Men- 
ge der Ausgangsstellen der Transitionen als komponierter Zustand in die Liste 
der komponierten Zustande eingetragen und als Startzustande in einen rekursi- 
ven Aufruf der Kompositionroutine eingegeben, wenn der komponierte Zustand 
noch nicht in der Liste enthalten war. Falls der komponierte Zustand bereits in 
der Liste war, wird die Kompositionsroutine beendet. Der Algorithmus endet, 
wenn keine neuen komponierbaren Zustande mehr gefunden werden. 

Die Information liber die Nebenlaufigkeit geht bei der Komposition comp ver- 
loren. Um Nebenlaufigkeit zu beriicksichtigen, muss die Kompositionsregel mo- 
difiziert werden. Bei der Komposition werden dann nur Transitionen mit.Syn- 
chronisationskanalen zu einer Transition zusammengefasst. 

Kompositionsergebnisse haben oft aquivalente Zustande. Weim die Produkte 
Kompositionsergebnisse in weiteren Kompositionen weiterverarbeitet werden, 
sind solche Redundanzen unerwunscht. Daher ist man bestrebt* aquivalente 
Maschinen mit einer minimalen Anzahl von Zustanden zu finden. Die Abbil- 
dung der Minimienmg wird im folgenden durch eine Funktion min : Mn — ► Mci 
bezeichnet. 

Nach einer Komposition entstehen -oft unerwiinschte Transitionen mit leeren 
Ereignismengen. Diese Transitionen konnen durch eine stellenberandete Vergro- 
berung (Erklarung des Begrifis in [6]) ersetzt werden, wobei die Rander die 
Eingangs- und Ausgangsstelle der Transition sind. Dies wird so oft wiederholt, 
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bis es. -kerne leeren Transitionen in der Maschine mehr gibt. Diese Abbildung 
wird im folgenden durch eine Funktion red : Mq Mq bezeichnet. 

Der Kontrollfluss und die Struktur einer Turing-Maschine kann verschleiert wer- 
den, indem einige Bestandteile der Turing-Maschine komponiert werden. Bei- 
spielsweise konnte man Gruppen von beliebigen Feldern verschiedener Bander 
komponieren. Felder von Bandera konnen auch mit dem Programm oder Lese- 
kopfen komponiert werden. Weitere Kombinationen auch mit weiteren Kompo- 
nenten, die nicht Bestandteil der Turing-Maschine sind, sind denkbar. 

In einer weiteren Ausgestaltung des Verfahrens werden zu komponierende, da- 
tenverarbeitende Netze durch eine Obersetzung von Algorithmen gebildet. Hier- 
durch wird eine Dekomposition und Analyse von Algorithmen erschwert oder 
verhindert. 

In einer weiteren Ausgestaltung des Verfahrens ist wenigsten ein der zu kom- 
ponierende, datenverarbeitende Netze eine kryptologische Komponente. Wenn 
diese Komponente zufallig erzeugt und geheim gehalteri wird, ist eine Dekompo- 
sition des Kompositionsergebnis wesentlich erschwert oder unmoglich, insbeson- 
dere, wenn mehrere Komponenten kryptologische Komponenten mit verschiede- 
nen Aufgaben sind. Dieses Verfahren ist geeignet, um Folgen von Operationen 
zu verschlusseln. Eine Operation liest die Operanden und schreibt ein Ergeb- 
nis. Ein Angreifer, der Kenntnis uber die Operation erlangen mochte, hat die 
Moglichkeit, das Netz, das die Operation reprasentiert, mit ihm bekannten Net- 
ze zu vergleichen oder er versucht, mit Hilfe von Ein- und Ausgabe-Beispielen 
ein Modell der Operation zu bilden, so dass die Operation und das Modell ein 
aquivalentes Ein-/Ausgabe-Verhalten zeigen. Beides wird verhindert, wenn die 
Werte verschldsselt sind und verschlusselt verarbeitet werden. Dies ist moglich, 
indem die Netze zur Entschlusselung der Operanden mit dem Netz der Operati- 
on und einem Netz zur Verschliisselung des Ergebnisses komponiert werden. Es 
mussen Werte mit der Aufienwelt unverschliisselt ausgetauscht werden konnen. 
Eingaben werden dann nicht entschliisselt. Analog werden Ausgaben nicht ver- 
schlusselt. Werden Petri-Netze benutzt und wird fur die Ent- und Verschliisse- 
lung ein Stromverschliisselungsverfahren benutzt, das die Eingabe-Symbolketten 
nur in einer Richtung verarbeitet und mit jeder Transition ein Symbol einliest 
und ein Symbol schreibt, benotigt die Verschliisselung keine zusatzliche Zeit, 
weil 'jede Transition des Kompositionsergebnisses eine Zusammenfassung von 
Transitionen der Komponenten ist. Die obere Schranke fur die Anzahl der Zu- 
stande des Kompositionsergebnisses ist das Produkt aus der Anzahl der Zustan- 
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de jeder Komponente. Jede Ausgabe einer verschlusselten Operation sollte eine * 
individuelle Verschlusselung besitzen, damit ein Angreifer nicht durch Probie- 
ren verschiedener Konkatenationen von Operationen auf die Rinktionalitat der 
Operationen schliefien kann. 

In weiteren Ausgestaltung des Verfahrens konnen Komponenten Daten dekom- 
primieren und/oder Wasserzeichen in die Daten einfiigen. Ein Wasserzeichen 
ist ein Identifizierungsmerkmal oder ein Zertifikat, das Daten hinzugefiigt wird, 
ohne dass die Nutzung dieser Daten behindert wird. Dieses Verfahren ist bei der 
Distribution von Daten, wie beispielsweise Audio- und/odef Videodateri, an vie- 
le Endverbraucher geeignet. Die Wasserzeichen konnen beim Endverbraucher bei 
def Entschlusselung der Daten in die Daten eingefugt werden. Vorzugsweise ist 
die Entschlusselung und das Wasserzeichen endverbraucher-individuell. Dabei 
muss die zuvor gemachte Verschlusselung nicht zwangslaufig endverbraucher- 
individuell sein. Die Entschlusselung kann an eine durch eine spezielle Hardwa- 
re geschutzte kryptologische Funktion, deren Punktionswerte endverbraucher- 
individuell sind, gekoppelt werden. , 

In einer weiteren Ausgestaltung des Verfahrens konnen Register in einer Regi- 
sterbank zusammengefasst werden und dadurch miteinander verschrankt wer- 
den. Mit Verschrankung ist gemeint, dass ein Angreifer nicht einen Registerwert 
andern kann, ohne den Wert eines anderen Registers der Bank zu andern. Es 
lasst sich die Integritat "der Registerinhalte for einen Zeitraum sicherstellen, in 
dem wenigstens ein fiir den korrekten Ablauf des Programms wesentlicher Wert 
in einem Register der Bank gespeichert ist. Ein wichtiger Baustein einer Schrei- 
boperation.ist eine Maschine, die im folgenden Kombinierer genannt wird. Ein 
Kombinierer bildet mehrere Datenstrome verschiedener Kanale, die jeweils ei- 
nem Register der Registerbank zugeordnet sind, auf einen Datenstrom eines 
Kanals umkehrbar ab. Das Produkt der Betrage der Symbohnengen der einge- 
henden Datenstrome ist eine obere Schranke fur den Betrag der Symbolmenge 
der Ausgabe des Kombinierers. Es ist moglich, dass nicht alle Kombinationen 
von Symbolen auf den Eingabekanalen vorkommen. Der von einem Kombinie- 
rer erzeugte Datenstrom wird verschliisselt. Dies ist gunstiger, als die in den 
Kombinierer eingehenden Datenstrome zu verschliisseln, weil die Syinbolmenge 
der Ausgabe des Kombinierers grosser als die Symbohnengen der Komponenten 
ist. Eine Stromverschlusselung mit einer grosseren Symbolmenge ist effizienter 
als mit einer kleineren Symbolmenge. Zum Extrahieren der Daten eines Regi- 
sters aus dem Datenstrom eines Kombinierers, wird der Datenstrom zunachst 
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entschlusselt. Dann konnen nach Anwendung des Separators die Daten einzel- 
ner Register gelesen werden. Neben der Verschrankung von Registern hat das 
Speichern von Daten in .einer Registerbank den Vorteil, dass Datenfliisse ver- 
borgen werden konnen. Es konnen nacheinander viele Operationen auf einer 
Registerbank arbeiten, ohne dass Zwischenresultate die Registerbank yerlassen. 
Zur Verschleierung des Zustands einer Registerbank kann eine Pseudozufallszahl 
in ein Register geschrieben werden, die bei jedem lesenden und schreibenden Zu- 
griff auf die Registerbank geandert wird. Der Pseudozufallszahlen-Generator ist 
dann eine Komponente der Registerbank. In diesen Generator konnen sich ver- 
andernde Daten aus Registern, die nicht in der Registerbank liegen, eingegeben 
werden. 

In einer weiteren Ausgestaltung des Verfalirens empfangt eine kryptologische 
Komponente von einer geschiitzt ausgefiilirten Funktion Daten uhd verarbei- 
tet diese, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn 
von der kryptologischen Panktion keine oder fehlerhafte Daten empfangen wer- 
den. Hierdurch wird eine schwer oder nicht trennbare Kopplung des Komposi- 
tionsergebnisses mit der kryptologischen Funktion erreicht, was beispielsweise 
dafur geeignet ist, eine unauthorisierte Benutzung von Software zu verhindern, 
wenn das Kompositionsergebnis von der Software benotigt wird und das Aus- 
fiihren der kryptologischen Funktion nicht frei reproduzierbar ist. Ein weite- 
res Verfahren' sieht vor, dass ein wei teres in der Funktionalitat eingeschranktes 
Kompositionergebnis die kryptologische Komponente nicht enthalt und keine 
Daten von der kryptologischen Funktion empfangen braucht, um die fehlerfreie 
Funktionsweise zu gewahrleisten. Dieses Verfahren eignet sich fur die Distri- 
bution von Demonstrations- Versionen von Software, die frei kopiert und ver- 
teilt werden konnen. Das Kompositionergebnis muss in der Funktionalitat ein- 
geschrankt sein, damit ein Angreifer in der Vollversion der Software nicht das 
mit der kryptologischen Funktion gekoppelte Kompositionsergebnis durch das 
in der Demonstrations- Version benutzte Kompositionsergebnis ersetzt und so 
eine Vollversion ohne Einschrankungen herstellt. 

Mit Hilfe eines alternativen Verfahrens wird erreicht, dass die Ausfuhrung ei- 
nes datenverarbeitendes Netz bzw. eines Programms an die ausfuhrende Vor- 
richtung gekoppelt wird. Eine geschiitzt ausgefiihrte kryptologische Funktion, 
beispielsweise eine Funktion des TPM-Chips der TVusted Computing Platform 
Alliance (TCPA) [13], die mit der Vorrichtung, beispielsweise einem PC oder 
einem PDA, fest verbunden ist, tauscht Daten mit dem Netz bzw. dem Pro- 
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gramm aus. Das datenverarbeitende Netz bzw. das Programm arbeitet nicht 
oder fehlerhaft, weim von der kryptologischen Funktion keine oder fehlerhaf- 
te Daten empfangen werden. In einer Ausgestaltung des Verfahrens wird ein 
Wert uber die Berechnuiig eines Funktionswertes der kryptologischen Funktion 
hinaus fur einen Angreifer nicht lesbar oder veranderbax gespeichert wird und 
bei einer weiteren Berechnung eines weiteren Funktionswertes beeinflusst dieser 
Wert das Brgebnis der weiteren Berechnung, wobei dieser Wert sich nach einer 
vorgegebenen Regel verandert. Hierdurch wird verhindert, dass mehrere Netz- 
bzw. Programm- Instanzen unkontrollierbar Funktionswerte der kryptologischen 
Funktion benutzen konnen. 

BEISPIELE 

In Fig. 1 hat eine ausfuhrende Instanz Zugriff auf einen Speicher, der ein Petri- 
Netz und die Bander x und y speichert. Die Anfangsmarkierung hat eine Marke 
auf einer Stelle, dem Startzustand s 0 . Mit jedem Schalten einer Transition wird 
die Marke von der Eingangsstelle zur Ausgangsstelle bewegt, mit Hilfe eines 
Kopfes ein Symbol des Eingabealphabets vom Band x gelesen und mit Hilfe eines 
weiteren Kopfes ein Symbol des Ausgabealphabets auf Band y geschrieben. Nach 
jedem Lese- und Schreibvorgang bewegen sich die Kopfe ein Feld nach rechts. 
Das Netz fuhrt eine binare Multiplikation [y = 2x) aus. 

In alien folgenden Figuren wird auf die Darstellung der ausfuhrenden Instanz, 
des Speichers, der Kopfe und der Bander verzichtet. Anstatt des Begriffs "Petri- 
Netz" wird der BegrifT^etz" benutzt. 

Fig. 2 zeigt eine binare Addition. Eine Marke liegt auf dem Startzustand sq. 
Die Transitionen tragen die Beschriftung der Form ab/c. Die Ein- und Ausgabe- 
kanale werden in der Eingangsstelle jeder Transition in gleicher Form genannt. ' 
a und b sind die Kanale fur Operanden, c ist der Kanal fur das Ergebnis. Transi- 
tionen, die die gleiche Eingangsstelle und die gleiche Ausgangsstelle haben, aber 
unterschiedliche Ein- oder Ausgaben, werden in dieser urid vielen weiteren Dar- 
stellungen durch ein Rechteck dargestellt. Jede Zeile eines Rechtecks entspricht 
einer Transition. 

Es gibt Falle, in denen mehrere Ergebnisse einer Verarbeitung parallel berechnet 
und ausgegeben werden sollen. Fig. 3 zeigt ein Netz, das neben mehreren Ein- 
gabekanalen auch mehrere Ausgabekanale besitzt und zwei binare dargesteDte, 
natiirUche Zahlen addiert: [c = a + 6, d = a — b). 

Weitere Beispiele von Netzen sind in Fig. 4 und 5 dargestellt. Das Netz in Fig. 
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4 berechnet \t = 3 - a,d = a - b, s = a + b], das Netz in Fig. 5[s = a + b + c). 

Fig. 6 zeigt die Komposition von zwei Netzen M und M'. Die Ein- und Ausgabe- 
Ereignisse werden in den Transitionen durch Mengen wie in Anspruch 11 be- 
schrieben. M schreibt mit IVansition t 4 iiber den Kauai b das Symbol a, das M l 
uber den gleichen Kanal mit Transition f 3 liest. b ist ein interner Synchronisati- 
onskanaJ. U und t f 3 sind die einzigen Transitionen, die auf Kanal b arbeiten und 
konnen daher nux synchron schalten. Es gibt die Kompositionsergebnisse jK\, 
K% und Kz. Von den Stellen s Q und s[ fiihren keine kompatiblen Transitionen * 
weiter. Die beschriebene Kompositionsroutine endet daher nach demEintragen 
des Zustandes (so,s'i) in die Liste der komponierten Zustande. 

Fig. 7 zeigt die Komposition der gleichen Netze, bei der nur TVansitionen mit 
Synchronisationskanalen zu einer Transition zusammengefasst werden, urn die 
Information iiber die Nebenlaufigkeit zu erhalten. 

Will man in einer Maschine M einen Ausgabekanal a durch einen Kanal 6 bzw. 
einen Eingabekanal b durch einen Kanal a ersetzten, komponiert man M mit der 
in Fig. 8 dargestellten Maschine, wobei a bzw. b ein interner Synchronisations- 
kanal ist. {o\ % ....,a m } ist die den Kanalen a und b zugeordnete Symbolmenge. 

Fig. 9 zeigt, dass auch das Konkatenieren von Netzen durch eine Composition 
ausgefiihrt werden kann. Transitionen mit leeren Ereignismengen ("leere Transi- 
tionen"), deren Eingangsstelle gleich der Ausgangsstelle ist, werden im folgenden 
Wartetrajisitionen genannt und in Fig. 9 durch leere Rechtecke dargestellt. M 
schreibt auf Kanal a eine 1 und dann auf Kanal b eine 2. M 1 schreibt auf Kanal 
c eine 3 und dann auf Kanal d eine 4. M bzw. M l haben aufcerdem einen Kanal 
k zum Konkatenieren und Wartetransitionen t 3 bzw. i/^ In Transition t 2 von 
M wird auf Kanal k das Symbol /c geschrieben. Transition t? 2 von Ml liest auf 
Kanal k das Symbol /c. Komponiert man M und M l mit k als internen Syn- 
chronisationskanal, so erhalt man die Maschine K, die nacheinander auf Kanal 
a, h, c bzw. d eine 1, 2, 3 bzw. 4 schreibt. Wenn Maschinen konkatenierbaj sein 
sollen, mussen die Umgebungen der Anfangs- und Endzustande entsprechend 
prapariert werden. Verschiedenen Transitionen konnen Kanale zum Konkate- 
nieren zugeordnet werden. Durch geeignete Substitutionen von Kanalen lassen 
sich die Konkatenationen beeinflussen. 

In Fig. 10 wird die naturliche Zahl 2 durch eine Maschine reprasentiert, die 
die binare Symbolkette 010 auf Kanal a ausgibt. Dies .entspricht deV Gleichung 
a = 2. Eine Maschine zur Addition c = a-f b liest auf Kanal o und b und schreibt 
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auf Kanal c. Beide Maschinen werden uber den internen Synchronisationskanal 
a komponiert. Fig. 11 stellt das Ergebnis dax. 

[c = b -f 2 mod 8] = comply ([c = a +-b] , [a = 2]) 

Weil der Kompositionsalgorithmus im Endzustand von a = 2 keine Transition 
mehr findet, bricht er ab. Das Kompositionsergebnis kann nur Symbolketten der 
Lange 3 ausgeben, ausgedriickt durch mod 8. .Komponiert man c = b + 2 mod 8 
uber den internen Synchronisationskanal b mit der Maschine b = 3 aus Fig. 12 
so erhalt man die Maschine c = 5, ebenfalls in Fig. 12 dargestellt. 

[c = 5] = comp {b) ([c = b + 2 mod 8] , [6 = 3]) 

Fig. 13 stellt den gesamten Vorgang dar. Das Ergebnis der Kompositionen c = 
5 erhalt man ohne ' das Zwischenergebnis c = b + 2 mod 8, indem man alle 
Komponenten in einem Schritt komponiert.^ 

[c = 5] = comp {a , 6} ([c = a + b] , [a = 2] , [6 = 3]) 

Die Maschine c = a -h b kann unendlich lange Symbolketten verarberten. Das 
Kompositionsergebnis nach Komposition mit einem Operanden kann dies audi, 
wenn der Operand durch eine zyklische Transition, die Nullen ausgibt, abge- 
schlossen wird. In Fig. 14 wird a - 2 binar mit fuhrenden Nullen dargestellt. 
Das Kompositionsergebnis nach Komposition mit c = a+b kann unendlich lange 
Symbolketten verarbeiten, ebenfalls in Fig. 14 dargestellt. 

[c = b +°° 010] = comp {a) ([c = a + b) , [a =°° 010]) 

In einem weiteren Beispiel soil die Gleichung a = 2a + c vereinfacht werden. Da- 
mit sie verarbeitet werden kann, wird sie als Netz kodiert. Dazu wird zunachst 
die Gleichung d — 2a + c gebildet und anschliessend d durch a substituiert. Fig. 
15 stellt den ersten Schritt dar. Wird d nun durch a substituiert, so sind alle 
Transitionen ungultig, in denen vor der Substitution die den Kanalen a und 
d zugeordneten Symbole ungleich waren. Die ungiiltigen Transitionen und eine 
nicht mehr erreichbare Stelle s 3 sind in Fig. 15 grau unterlegt. Nach der Sub- 
stitution ist der Kanal a zu entfernen, weil in einer Transition nicht gleichzeitig 
auf einem Kanal gelesen und geschrieben werden kann. Damit nach dem Ent- 
fernen die Information des Kanals a nicht verloren ist, wurde die Kopie a 1 = a 
angelegt. Fig. 16 stellt auf der Eingangsstelle der Transition min das Ergebnis 
dieser Schritte dar. Man kann zeigen, dass Si und s 2 aquivalent sind. Nach der 
Minimierung durch min ist das Ergebnis die Gleichung a = -c. Dies kann, wie 
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in Fig. 17 dargestellt, verifiziert werden. Wird bei einer binar arbeitenden se- 
quentiellen Maschine a = e + / der Ubert rags zust and als Starfczustand definiert, 
erhalt man die Maschine resp. das Netz a = e -h / + 1. Dann wird e durch das 
Eins-Komplement von c ersetzt , so dass a = — c + /. Nacb / = 0 ist a = —a 

Tm folgenden werden Matrizen natiirlicher Zahlen als Netz kodiert und durch 
Komposition addiert. Das Netz aus Fig. 18 entspricht einer Funktion von {1, 2} 2 
auf {0, 1, 2, 3}, die die Zeile i und die Spalte j der Matrix 



-co 



■ liefert, wobei die Funktionswerte {0,1,2,3} binar als {"O^Ol, 00 010,°° 011} 
kodiert sind. Das Netz liest zunachst den Zeilen- und Spaltenindex und gibt 
dann das entsprechende Matrix-Element aus. Die Bezeichnung der Kanale zum 
Binlesen der Indizes spielt bei der Komposition mit anderen Netzen eine Rolle. 
Deshalb werden im folgenden in Abweichung zu iiblichen Matrix-Schreibweisen 
die Indizes dem Matrix-Bezeichner hinzugefugt: Aij. Die Komposition ergibt 




comp{a t b} [ [c = o + b], 



-C0].[-=(::)]> 



was in Fig. 19 dargestellt ist. Wartetransitionen werden durch die Zeichenfolge 
7/* in cier Eingangsstelle (Ausgangsstelle) symbolisiert. Der Startzustand von 
c = a 4- b hat eine Wartetransition. Die Kanale i und j werden zu externen 
Synchronisationskanalen. Sie bleiben im Kompositionsergebnis erhalten, wah- 
rend die internen Synchronistionskanale a und b nicht erhalten bleiben. c ist 
kein Synchronisationskanal. 

Fig. 20 zeigt die Kanalstruktur einer Turing-Maschine, die durch eine Koope- 
ration von Netzen gebildet wird. Die Transitionen entsprechen den beteiligten 
Kooperationspartnern, die SteUen entsprechen den Kanalen. Eine endliche Kon- 
trolle, als Netz realisiert, liest uber Kanal x bzw. schreibt \iber Kanal y Symbole 
auf ein Band. Die endliche Kontrolle gibt bei jedem Lese- und Schreibvorgang 
uber den Kanal I Bewegungs-Anweisungen an den Kopf. Ein Kopf H mit Ibi- 
dem Fi kommuniziert uber die Kanale ii.. Fig. 21 zeigt ein Band mit Feldern 
zum'Speichern der Symbole 0, 1 und r. Alle Felder speichem am Anfang das 
Symbol r. In Fig. 22 ist eine Initialisierung Jnit Q1 des Bandes mit der Sym- 
bolkette rOlr dargestellt. Ein Punkt anstelle eines Symbols in einer Transition 
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bedeutet, dass jedes erlaubte Symbol hier eingesetzt werden darf. Das TVansi- 
tionsrechteck mit der Beschriffcung " ./Rr" und der Bingangsstelle mit der Be- 
schriftung "a;/ Jy" ist.die Kurzschreibweise fur drei Transitionen mit gleicher Ein- 
und Ausgangsstelle mit 'den folgenden Eingabe-/Ausgabe-Ereignismengen: 1. 
Transition: {(rc,0)} / {(J, R) , (y, r)}, 2. Transition: {(*, 1)} / , (y lT )}, 3. 

Transition: {(x,r)} / {{1,11) , (y,r)}. Komponiert man die Initialisierung Init 0l 
mit dem Kopf if und vier Bandfeldern F Xi F 4 , wobei die internen Synchroni- 
sationskanale x , y, J, sind, so gibt es im ersten Kompositionsschritt' von 

den Startzustanden aller Komponenten ausgehend nur eine Menge kompatibler 
Transitionen, wie in Tab. 1 dargestellt: 



Komponente 


Kanale 


Symbole 


Initialisierung P 




t/Rt . 


Kopf H 




tR/t 


FeldFa 




t/t 


Felder F 2 , F 3) F A 


(Wartetransitionen) 





Tab. 1 Kompatible TYansitionen 

Die Komponenten bilden einen gesclilossenen Kreislauf von Symbol-Produzenten 
und -Konsumenten. Nach der Komposition ist der Kopf auf Feld F 3 , das eine 
Eins speichert, positioniert. Eine endliche Kontrolle Pi zur Erkennung der Spra- 
che L = {0 n l n |n > 1} ist in Fig. 23 dargestellt. Es wird vorausgesetzt, dass das 
zu erkennende Wort mit einem vorgehenden und nachfolgenden r linksbiindig 
auf dem Band steht und der Kopf auf ein Feld links neben dem rechten r positio- 
niert ist. Angenommen, das Wort gehort zur Sprache £, dann gibt es folgenden 
Ablauf (ahnlich wie in [5]): Die am weitesten rechts stehende Eins wird durch 
r ersetzt. Dann bewegt sich der Kopf-nach links bis zum nachsten r\ dann ein 
Feld nach rechts. Die am weitesten links stehende Null ist hier gespeichert und 
wird durch r. ersetzt. Dann wird die am weitesten rechts stehende Eins, dann die 
am weitesten links stehende Null durch r ersetzt usw. Wenn eine Null durch r 
ersetzt wurde, und rechts daneben ein r gefunden wird, akzeptiert die Maschine 
das Wort. Das Akzeptieren wird der Aufienwelt durch das Schreiben einer Eins 
auf dem Kanal A mitgeteilt. Findet. die Maschine auf der Suche nach einer Null 
bzw. einer Eins eine Eins bzw. Null oder ein r, wird das Wort nicht akzeptiert 
und eine Null auf Kanal A ausgegeben. Der Benutzer (in diesem Fall die endliche 
Kontrolle) des Bandes benotigt keine Kenntnis iiber die Stmktur des Bandes. 
Das Band und die Felder konnten z.B. auch in einer Maschine komponiert sein. 
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Der Benutzer benotigt nur Kenntnis uber die Schnittstelle des Bandes die Be- 
deutung der Ein- und Ausgabekanale. Ein Benutzer der endlichen Kontrolle zur 
Erkennung der Sprache mufi wissen, wie das zu priifende Wort auf das Band zu 
schreiben ist. Dazu gehort das Wissen liber die Bedeutung des Kanals I und die 
Konvention, ein vorausgehendes r auf das erste Eeld des Bandes zu schreiben. 
Dieses Wissen lafit sich durch die Maschine in Fig. 24 kapseln. Komponiert man 
diese Kapselung mit dem Band, kann man Symbolketten in der Form, wie in 
Fig. 25 daxgestellt, eingeben. Sei c € L. Konkateniert man B mit Pa (Endzu- 
stand von E ist der Startzustand von Pi) und komponiert dies mit T, wobei 
alle von wenigstens zwei Maschinen benutzten Kanale Synchronisationskanale 
sind, so erhalt man nach Anwendung von red eine Maschine, die in Fig. 26 
a) dargestellt ist. Ist c £ L, so ist das Ergebnis die in Fig. 26 b) dargestellte 
Maschine. 

c G L A |c| = n [A = 1] = red (coT7ip{c t x iyi /,*,...x„ +3 } (c, P x , T)) . 

Fig. 27 a) zeigt die verschliisselte Ausfuhrimg einer Operation. Die Operanden 
a,- b bzw. c sind als a\ b' bzw. d verschliisselt. Die Entschlusselungen von a 
und b und die Verschliisselung von c werden mit der Operation komponiert. 
Fig.' 27 b) zeigt, wie unverschlusselte Operanden a und b mit einer Operation 
verarbeitet werden und das Ergebnis c als c' verschliisselt wird. Die Operation 
und die Verschliisselung werden komponiert. 

Fig. 28 a) bzw. b) stellt einen Kombinierer von Kanalen bzw, dessen Umkehrung, 
einen Separator, dar, der in einer Registerbank benutzt wird. In Fig. 29 wird 
ein moglicher Aufbau einer Registerbank dargestellt. Urn einen Registerwert 
zu verandern, werden mehrere Operationen komponiert. Cber den Kanal x 1 
wird eine Registerbank R' mit d'rei Registern R u Rz und Rz gelesen. Der alte 
Registerwert von Register J? 3 wird auf Kanal x 3 ausgegeben. Uber den Kanal 
3/3 wird ein neuer Wert in das Register R 3 geschrieben. Fig. 29 b) zeigt eine 
Komposition, die den Inhalt von Register R 3 ausgibt, ohne die Registerbank zu 
verandern. 

In Fig. 30 wird daxgestellt, wie eine Hardware Daten der Applikation mit einer 
Stromverschliisselung verschliisselt. Der von der Hardware verschliisselte Wert 
wird von der Applikation entschliisselt. Die Entschlusselungsfunktion wird mit 
einer Operation der Applikation komponiert. Das Ergebnis nach' Ausfuhrung der 
Operation ist verschliisselt. Die Entschliisselung mit Hilfe der Umkehrfunktion 
der Hardware und die Verschliisselung mit der Operation geschehen parallel. Der 
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entschlusselte Wert wird fur einen Angreifer zu keinem Zeitpunkt. sichtbax. Es 
spielt keine Rolle, ob die Hardware verschlusselt und die Applikation entschlus- 
selt, oder umgekehxt. Wesentlich ist, dass die Verknupfung der beiden Funktio- 
nendie Identitat ist. Die parallele Entschliisselung und Verschlusselung ist mog- 
lich, weil nur Stromverschlusselungen benutzt werden. Es konnen auch andere 
Kryptofunktionen benutzt werden. Viele bekannte Kryptofunktionen lassen sich 
nur mit Hilfe von Registern fur das Speichern von Zwischenergebnissen, wie z.B. 
Rundenergebnissen, realisieren. Diese Zwischenergebnisse miissen in geschiitzten 
Registerbanken gespeichert werden. Wenn eine Runde einer Blockverschlusse- 
lung eine Stromverschliisselung ist, kann die letzte Runde dieser Blockentschliis- 
selung mit der Operation und den Umschlusselungen der Operation komponiert 
werden. Anstelle einer VerscMusselungsfunktion kann auch eine Hashfunktion in 
der Hardware ausgefuhrt werden. Fig. 31 zeigt ein mogliches Schema. Ein TeU . 
der Eingabe in die Hashfunktion mu£ geheim bleiben. Dieser TeU entspricht dem 
Schliissel bei einer Verschliisselungsriinktion. Der andere TeU der Eingabe sind 
Daten aus der Applikation. Der Ausgabewert der Hashfunktion kann mit dem- 
Ausgabewert einer Simulation der Hashfunktion z.B. durch sich kompensierende 
Operationen wie Addition und Subtraktion zu dem Ergebnis einer ausgefuhrten 
Operation addiert werden. Das Ergebnis einer solchen ausgefuhrten Operation 
ist nur dann korrekt, wenn die Hashfunktion und ihre Simulation den gleichen 
Wert liefern. Die Operation, die Hashfunktion resp. eine Runde der Hashfunk- 
tion, die Addition, Subtraktion und alle Umschlusselungen der Operation sind 
z,u komponieren. Der geheime Teil der Eingabe in die Hashfunktion und gege- 
benenfalls Zwischenergebnisse sind in geschiitzten Registerbanken zu speichern. 

Sequentielle, reversible Maschinen konnen zur Verschlusselung und Entschliisse- 
lung benutzt werden. Bin Beispiel fur eine sequentielle, reversible Maschine ist in 
Fig. 32 dargestellt. In jedem Zustand kann bei gegebener Ausgabe eindeutig die 
dazugehorige Eingabe bestimmt werden. Solche Maschinen mit einer deutlich 
hoheren Anzahl von Zustanden, als in Fig. 32 beispielhaft dargestellt, eignen 
sich zur Komposition mit anderen Netzen, beispielsweise wie in Fig. 27 a) und 
b) dargestellt. Denkbar sind auch Maschinen mit verzogerten Ausgaben, wie in 
' [3] beschrieben. Alle Maschinen konnen nicht-deterministisch erzeugt werden, 
z.B. mit Hilfe von Zufallszahlengeneratoren. 
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ANSPRUCEE 

1. Verfahren zur Verarbeitung von Daten, dadurch gekennzeichnet, dass ein 
Petri-Netz kodiert, in einen Speicher geschrieben und aus dem Speicher von 
wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei Transitionen des 
Petri-Netzes Symbole oder Symbolketten xnit Hilfe wenigstens eines Kopfes von 
wenigstens einem Band lesen und/oder auf wenigstens einem Band schreiben. 

2. Verfahren nach Anspruch 1, dadurch. gekennzeichnet, dass das Petri-Netz, 
der Kopf oder die Kopfe und das Band oder die Bander eine universelle Turing- 
Maschine bilden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass wenigstens 
ein zweites Petri-Netz, insbesondere mit den Eigenschaften des in Anspruch 
1 beschriebenen Petri-Netzes kodiert, in einen Speicher geschrieben und aus 
dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei 
Transitionen jedes Petri-Netzes Symbole oder Symbolketten uber wenigstens 
einen wahlweise vorhandenen Kanal senden konnen, die von Transitionen ande- 
rer Petri-Netze iiber diesen Kanal oder diese KanaJe empfangen werden konnen. 

4. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, dass ein 
Petri-Netz auf eine Markierungs- bzw. Zustandsubergangstabelle und wahlweise 
wenigstens eine Ausgabetabelle oder eine Kombination aus beiden zugreift und 
hiermit in Abhangigkeit von der Markierung bzw. von dem Zustand und wahl- 
weise abhangig von einer wahlweise vorhandenen Eingabe eine Folgemarkierung 
bzw. einen Folgezustand und wahlweise wenigstens eine Ausgabe ermittelt. 

5. Verfahren zur Durchfuhrung des Verfahrens nach Anspruch 4, dadurch ge- 
kennzeichnet, dass das Schalten der Transitionen eines Petri-Netzes von ei- 
nem Prozessor ausgefuhrt wird, wobei der Prozessor wenigstens eine Prozes- 
sorinstruktion besitzt, die die Markierungs- bzw. Zustandsubergangstabelle und 
wahlweise wenigstens eine Ausgabetabelle oder eine Kombination aus beiden als 
Operanden verarbeitet. 

6. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass eine Kooperation 
von Petri-Netzen eine Turing-Mas chine bildet. 

7. Verfahren nach einem der Anspriiche 3 und 6, dadurch gekennzeichnet, dass 
wenigstens ein Teil eines Programms in ein Petri-Netz oder eine Kooperation 
von Petri-Netzen iibersetzt wird. 

8. Verfahren nach einem der Anspriiche 3 bis 7, dadurch gekennzeichnet, dass die 
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Petri-Netze durch eine Kompositionsvorschrift ausgefuhrt werden, wob.ei ein zu 
den kooperierenden ersten und zweiten Petri-Netzen bezuglich des ausseren Ein- 
/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aquivalentes drit- 
tes Petri-Netz mit Hilfe cles ersten und der zweiten Petri-Netze gebildet wird. 

9. Verfahren zur Verarbeitung von Daten, ausgenommen auf der Kompositi- 
on von endlichen Automaten basierende Public Key Verschlusselungsverfah- 
ren, insbesondere in Verbindung mit einem der Anspriiche 1 bis 8, dadurch 
gekennzeich.net, dass datenverarbeitende, kooperierende Netze komponiert wer- 
den, das Kompositionsergebnis kodiert, in einen Speicher geschrieben und aus 
dem Speicher von wenigstens einer Instanz gelesen und ausgefuhrt wird, wobei 
das Kompositionsergebnis ein zu seinen Komponenten bezuglich des ausseren 
Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzogerungen, aquivalentes 
Netz ist. 

10. Verfahren nach einem der Anspriiche 1 bis 8 und Anspruch 9, dadurch ge- 
kennzeichnet, dass die Komponenten und das Kompositionsergebnis Petri-Netze 
sind, wobei die Transitionen der Komponenten Symbole oder Symbolketten iiber 
wahlweise vorhandene Kanale send en und empfangen konnen. 

11. Verfahren nach Anspruch 8 oder 10, dadurch gekennzeichnet, dass die Petri- 
Netze sequentielle Maschinen Mn mit wahlweise mehreren Eingabekanalen und 
wahlweise mehreren Ausgabekanalen bilden, C eine endliche Menge von Kana- 
len, A eine endliche Menge von endlichen Alphabeten, 7 : C -> A, fi =(C, A, 7) 
eine Kommunikationsregel, 

En = {e|e= {(c,a)'|a € 7 (c) A ((c,ai) € e A (c,a 2 ) G e ay = a 2 )}}U{0} 

eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zu- 
standen ist und 

Mn := { (S 3 .Bn,<5,/3,6o)| 6 : R -> S A J5 : R En A R C S x B u 

A (V[(5 5 x),y]€/9V(c s ,a 3 ).€xV(c y >a y )€y: c* ^ c y ) A s Q G S }, 

B mit B C C eine Menge von internen Synchronisationskanalen ist und die 
Komposition compB ' MR 2 Mn von sequentiellen Maschinen definiert, wird 
als 
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A3T={ ((ai,...,arn),(yi,-.. > 3/n) > (si,--- 9 s / n )i^s0 I 

([(SO, > Xl) , *i] , I(50 n , *n) , *i] ) € <Ji X ... X S n 

A([(5 0 ,,xi),yi],...,[(so w >a;n) > yn]) € A X ... X £ n 
A = U *i = U A(*0 : 
jffx € En A H y e Eq 
A V feff) : (c € B & (c,a) € H x n £T y ) 
Ax = H x \H y Ay = H y \H s } 
3M£ = { K* | 3 ((s* , x n ) ,<!&,...,»«). (4 , s' n ) , 5, y) € T : 

=conip iJ ([(Si,2% J J^ } : 

A5 = (5o,>-»>5o w )U (J S' 

aJ={ [((5 0l ,...,s 0w ),5),(5i,...,O]| 

■((xi,... l an),(yi»-.. > yn)iWi-.Oiai») eT } 

u y ? 

Aj8 = { [((5 0l ,.^,soJ,5),y]i 

((«i.»M*n),(yi,...,j/n)»K,-.-»O» 5 »50 € r ) 
u _U ? 

(S' 1 jE^ l T' 1 ?' l 4)€A?i 
A So = (So a i—i*0.) ]• 

12. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die datenverar- 
beitende Netze durch eine Ubersetzung von Algorithmen gebildet werden. 

13. Verfahren nach einem der Anspriiche 9 bis 12, dadurch gekennzeichnet, dass 
wenigstens eine Komponente eine kryptologische Komponente ist. . 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass wenigstens eine 
Komponente komprunierbe Daten dekomprimiert. 
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15. Verfahren nach einem der Anspriiche 13 oder 14, dadurch gekennzeichnet, 
dass eine. Komponente Daten liest und durch Veranderung dieser Daten ein 
fur die Nutzung dieser Daten nicht oder wenig behinderndes MerkmaJ oder 
Wasserzeichen den Daten hinzufugt. 

16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Verschliisse- 
ler und ein Kombinierer mehxerer Eingabekanale zu einem Ausgabekaaal kom- 
poniert werden, wobei der Verschliisseler und der Kombinierer Petri-Netze sind, 
der Kombinierer die iiber die Eingabekanale empfangenen Daten auf den Aus- 
gabekanal abbildet und die Ausgabe des Kombinierers die Eingabe fur den Ver- 
schliisseler ist. 

17. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Entschliis- 
seler und ein Separator komponiert werden, wobei der Entschliisseler bzw. der 
.Separator ein Petri-Netz ist und eine Umkehrung eines Verschlusselers bzw. 
Kombinierers sein kann, der gemafi dem in Anspruch 16 beschriebenen Verfah- 
ren mit einem Kombinierer bzw. Verschliisseler komponiert wurde, der Separator 
die iiber den Eingabekana! empfangenen Daten auf den Ausgabekanal abbildet 
und die Ausgabe des Entschlusselers die Eingabe fur den Separator ist. 

18. Verfahren nach einem der Anspriiche 13 bis 17, dadurch gekennzeichnet, dass 
wenigstens eine Komponente eine kryptologische Komponente ist, die von einer 
geschiitzt ausgefuhrten kryptologischen Funktion Daten empfangt und veraxbei- 
tet, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn von der 
kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden. 

19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Kompositi- 
on unter Auslassung der kryptologischen Komponente oder wenigstens einer der 
kryptologischen Komponenten ausgefiihrt wird, wobei das Kompositionsergeb- 

' nis beziiglich der Nutzbarkeit gegeniiber dem Kompositionsergebnis, das ohne 
die Auslassung gebildet wurde, wenigsten eine Einschrankung besitzt. 

20. Verfahren zur Verarbeitung von Daten, insbesondere in Verbindung mit ei- 
nem der Anspriiche 1 bis 19, dadurch gekennzeichnet, dass ein datenverarbeiten- 
des Netz bzw. ein Programm von einer geschiitzt ausgefuhrten kryptologischen 
Funktion zweite Daten empfangt und verarbeitet und das datenverarbeitende 
Netz bzw. das Programm nicht oder fehlerhaft arbeitet, wenn keine oder fehler- 
hafte zweite Daten empfangen werden, wobei die kryptologische Funktion mit 
der das datenverarbeitende Netz bzw. das Programm ausfuhrenden Vorrichtung 
fest verbunden ist. 
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21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass ein Wert uber 
die Berechnung eines Rinktionswertes der kryptologischen Funktion hinaus fur 
einen Angreifer riicht lesbax oder veraaderbar gespeichert wird und bei einer wei- 
teren Berechnung ernes weiteren Funktionswertes dieser Wert das Ergebnis der 
weiteren Berechnung beeinfiusst, wobei der Wert sich nach einer vorgegebenen 
Regel verandert. 
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